Auftragsverarbeitungsvertrag nach DSGVO: Muster, Checkliste und Leitfaden

Auftragsverarbeitungsvertrag
Muster: Checkliste und Leitfaden nach DSGVO

Wer personenbezogene Daten durch externe Dienstleister verarbeiten
lässt, muss einen Auftragsverarbeitungsvertrag abschließen — und das,
bevor die Verarbeitung beginnt.


Was ist ein
Auftragsverarbeitungsvertrag?

Der Auftragsverarbeitungsvertrag (kurz: AVV) ist ein verbindlicher
Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter.
Er regelt, wie personenbezogene Daten im Auftrag verarbeitet werden
dürfen. Rechtsgrundlage ist Art. 28 DSGVO.

Typische Situationen, in denen ein AVV erforderlich ist:

  • Cloud-Dienste und SaaS-Plattformen (z. B. CRM, HR-Software)
  • E-Mail-Marketing-Dienstleister
  • IT-Outsourcing und Systembetreuung
  • Lohnbuchhaltung durch externe Steuerberater
  • Datenanalyse und Auswertung durch Dritte

Fehlt der AVV oder ist er unvollständig, liegt ein Datenschutzverstoß
vor. Die Aufsichtsbehörden können das mit Bußgeldern ahnden.


Was
muss ein Auftragsverarbeitungsvertrag Muster enthalten?

Art. 28 DSGVO definiert die Mindestinhalte verbindlich. Ein
rechtssicheres Auftragsverarbeitungsvertrag Muster
deckt alle folgenden Punkte ab:

Pflichtbestandteile nach
Art. 28 DSGVO

  1. Gegenstand und Dauer der Verarbeitung
  2. Art und Zweck der Verarbeitung
  3. Art der personenbezogenen Daten (z. B.
    Kontaktdaten, Gesundheitsdaten)
  4. Kategorien betroffener Personen (z. B. Kunden,
    Mitarbeitende)
  5. Pflichten und Rechte des Verantwortlichen

Darüber hinaus muss der AVV regeln:

  • Weisungsgebundenheit des Auftragsverarbeiters
  • Vertraulichkeitspflichten der eingesetzten Personen
  • Technische und organisatorische Maßnahmen (TOMs) nach Art. 32
    DSGVO
  • Bedingungen für den Einsatz von
    Unterauftragsverarbeitern
  • Unterstützungspflichten bei Betroffenenanfragen und
    Datenschutzverletzungen
  • Lösch- und Rückgabepflichten nach Vertragsende
  • Audit- und Kontrollrechte des Verantwortlichen

Checkliste: AVV
DSGVO — vor Vertragsschluss prüfen

Vor der Unterzeichnung eines AVV sollten Unternehmen diese Punkte
systematisch durchgehen:

Zum Auftragsverarbeiter: – [ ] Ist der Dienstleister
tatsächlich ein Auftragsverarbeiter — oder ein eigenverantwortlicher
Verantwortlicher? – [ ] Bietet er nachweisbare Garantien für die
Datensicherheit (z. B. ISO 27001, Zertifizierung)? – [ ] Sind die
technischen und organisatorischen Maßnahmen konkret beschrieben und
ausreichend?

Zum Vertragsinhalt: – [ ] Sind Gegenstand, Zweck und
Dauer der Verarbeitung klar definiert? – [ ] Sind die Datenkategorien
und betroffenen Personengruppen vollständig aufgeführt? – [ ] Ist die
Weisungsbindung eindeutig formuliert? – [ ] Sind
Unterauftragsverarbeiter genehmigt oder mit Verfahren zur Genehmigung
geregelt? – [ ] Sind Informations- und Meldepflichten bei Datenpannen
enthalten? – [ ] Sind Audit-Rechte und Kontrollpflichten geregelt?

Zu Drittlandsübermittlungen: – [ ] Werden Daten
außerhalb der EU/des EWR verarbeitet? – [ ] Gibt es einen
Angemessenheitsbeschluss oder geeignete Garantien (z. B.
Standardvertragsklauseln)? – [ ] Wurde ein Transfer Impact Assessment
(TIA) durchgeführt?

Nach Vertragsende: – [ ] Ist geregelt, ob Daten
zurückgegeben oder gelöscht werden? – [ ] Sind Fristen und Nachweise für
die Löschung festgelegt?


Häufige Fehler in der Praxis

Wir sehen in unserer Beratung immer wieder dieselben
Schwachstellen:

Veraltete AVV-Vorlagen. Viele Unternehmen verwenden
Muster, die noch auf die DSGVO-Einführung 2018 zurückgehen und neuere
Anforderungen — etwa nach den EuGH-Urteilen zu Drittlandstransfers —
nicht berücksichtigen.

Fehlende oder pauschal beschriebene TOMs. Der
Verweis auf „branchenübliche Sicherheitsmaßnahmen” reicht nicht. Die
TOMs müssen konkret und prüfbar sein.

Unterauftragsverarbeiter ohne Genehmigung. Nutzt ein
Dienstleister Sub-Dienstleister, ohne dass der Verantwortliche
zugestimmt hat, verletzt das den AVV.

Kein AVV, weil man es vergessen hat. Besonders bei
langjährigen Dienstleistern fehlt der AVV häufig schlicht — oder er
wurde nie aktualisiert.


Auftragsverarbeitungsvertrag
Muster: Eigene Vorlage oder individuelle Gestaltung?

Ein allgemeines Muster bietet einen Ausgangspunkt. Es ersetzt jedoch
keine individuelle Prüfung.

Standardmuster aus dem Internet decken oft nicht ab:

  • branchenspezifische Besonderheiten (z. B. Gesundheitsdaten,
    Behörden)
  • komplexe Verarbeitungsszenarien mit mehreren
    Unterauftragsverarbeitern
  • aktuelle Anforderungen an Drittlandstransfers

Wir empfehlen: Nutzen Sie ein Muster als Grundlage — lassen Sie es
aber von einem Datenschutzexperten an Ihre konkrete Situation
anpassen.


Fazit

Ein AVV nach Art. 28 DSGVO ist keine Formalität — er ist ein
wirksames Instrument, um Verantwortung klar zu verteilen und Risiken zu
begrenzen. Wer hier sorgfältig arbeitet, schützt nicht nur das
Unternehmen, sondern auch die Betroffenen, deren Daten verarbeitet
werden.

Die Checkliste oben hilft bei der ersten Einschätzung. Für eine
rechtssichere Umsetzung empfehlen wir eine individuelle Prüfung
bestehender Verträge — besonders wenn Dienstleister außerhalb der EU
eingesetzt werden.


Sie benötigen Unterstützung?

Die e|s|b data gmbh berät seit über 25 Jahren Unternehmen, Behörden
und internationale Konzerne zu allen Fragen des Datenschutzes und
IT-Rechts. Wir prüfen Ihre bestehenden Auftragsverarbeitungsverträge,
entwickeln rechtssichere Muster für Ihre spezifische Situation und
unterstützen Sie bei der vollständigen Umsetzung der
DSGVO-Anforderungen.

Sprechen Sie uns an — wir helfen konkret und ohne
Umwege.


Meta: Auftragsverarbeitungsvertrag Muster nach
DSGVO: Pflichtinhalte, Checkliste und häufige Fehler. Rechtssichere
AVV-Gestaltung mit e|s|b data gmbh.

Nach oben scrollen

Wilhelm Flintrop

Betriebswirt grad.

Freier Mitarbeiter der esb data gmbh

Kontakt
Wilhelm.flintrop@esb-data.de
02248/9174922

Kernkompetenzen

  • Dokumenten-Management
  • Finanzrelevante Unternehmensprozesse
  • Compliance
  • Datenschutz
  • Verfahrensdokumentationen
  • Migrationsdokumentationen

Seit 2020 Vorstandsmitglied im VOI-Verband

Seit 2022 zertifizierter Auditor des VOI CERT-Komitees bezogen auf finanzrelevante IT-Anwendungen und IT-Software

Bernd Länge

Zertifizierter Datenschutzbeauftragter

Experte für IT-Sicherheit

Kontakt
Bernd.laenge@axsos.de
0711/9011960

Sprachen
Deutsch, Englisch

Frank Müller

CEO der Axsos AG
(Gesellschafter der esb data gmbh)

Kontakt
Frank.mueller@axsos.de
0711/9011960

Sprachen
Deutsch, Englisch

Simone Seidel

Zertifizierte Datenschutzbeauftragte

Geschäftsführerin und Gesellschafterin der esb data gmbh

Kontakt
Simone.seidel@esb-data.de
0711/46905830

Sprachen
Deutsch, Englisch, Französisch, Spanisch

Horst Speichert

Rechtsanwalt, spezialisiert auf IT-Recht, Datenschutz

Lehrbeauftragter an der Universität Stuttgart

Gesellschafter und Geschäftsführer der esb data gmbh

Senior Partner bei esb Rechtsanwälte Emmert Bücking Speichert Matuszak-Lesny Partnerschaftsgesellschaft mit beschränkter Berufshaftung

Kontakt
Horst.speichert@esb-data.de
0711/4690580

Schwerpunkte

  • Informationssicherheit, Datenschutz
  • IT-Compliance, Risikomanagement
  • IT-Verträge, Betriebsvereinbarungen
  • Datenschutzkoordinationen (Beratung/ Unterstützung des/ der Datenschutzbeauftragten)
  • Outsourcing, Auftrags-DV, internationale Verträge
  • Urheberrecht, Marken- und Domainrecht
  • EDV- und Softwarerecht
  • Internet-Recht, E-Commerce
  • Wirtschaftsrecht, E-Government, Medienrecht
  • IT-Projekte und Gutachten

Persönliche Daten

  • seit 1996: Zulassung als Rechtsanwalt bei den Landgerichten
  • 1997-1999: Rechtsanwaltstätigkeit in Tübingen
  • seit 1999: Rechtsanwalt und Partner bei esb in Stuttgart
  • seit 2002: Zulassung als Rechtsanwalt bei den Oberlandesgerichten
  • seit 2004: Lehrbeauftragter an der Universität Stuttgart für Informationsrecht und internationales Vertragsrecht

Veröffentlichungen:

Sprachen
Deutsch, Englisch, Französisch

Dr. Jens Bücking

Rechtsanwalt und Fachanwalt für IT-Recht
VOI Certified Expert „Risk Management and Compliance“

Gesellschafter der esb data gmbh

Senior Partner bei esb Rechtsanwälte Emmert Bücking Speichert Matuszak-Lesny Partnerschaftsgesellschaft mit beschränkter Berufshaftung

Kontakt
Jens.buecking@esb-data.de
0711/4690580

Schwerpunkte

  • Recht der Informationstechnologien und neuen Medien
  • Recht am geistigen Eigentum (Marken, Domains, Urheberrechte etc.)
  • IT-Compliance / IT-Risk-Management
  • Beratung / Gestaltung in Datenschutz und Datensicherheit, technisch-organisatorische Umsetzung von Datensicherheitskonzepten (national/international)
  • Datenschutzkoordinationen (Beratung/ Unterstützung des/ der Datenschutzbeauftragten)
  • Outsourcing-Projektbegleitung
  • E-Commerce-Projektbegleitung
  • Arbeitsrecht
  • Management- / Mitarbeiter-Schulungen und Coaching

Veröffentlichungen:

  • Domainrecht, Bücking / Angster, Kohlhammer Verlag, 2010
  • Namens- und Kennzeichenrecht im Internet, Bücking, Kohlhammer Verlag, 1999
  • Die wettbewerbs- und kartellrechtlichen Aspekte der Vergabe von Internetadressen, Bücking, Medien Verlag Köhler, 2002
  • Der IT-Sicherheitsexperte: Rechtliche und Technische Aspekte der Internetnutzung, Heindl / Emmert / Bücking, Addison-Wesley Verlag, 2001

Sprachen
Deutsch, Englisch, Spanisch

Ulrich Emmert

Rechtsanwalt
Lehrbeauftragter an der Hochschule für Wirtschaft und Umwelt, Nürtingen
Gesellschafter und Geschäftsführer der esb data gmbh
Senior Partner bei esb Rechtsanwälte Emmert Bücking Speichert Matuszak-Lesny Partnerschaftsgesellschaft mit beschränkter Berufshaftung

Kontakt
Ulrich.emmert@esb-data.de
0711/4690580

Schwerpunkte

  • IT-Sicherheit und Datenschutz, technisch-organisatorische Umsetzung von Datensicherheitskonzepten (national/ international)
  • Gestaltung von Lizenzverträgen, Wartungsverträgen, Service Level Agreements etc.
  • IT-Compliance/ IT-Risk-Management
  • Kapitalgesellschaftsrecht/ Gründung und Beratung von AG, GmbH, UG und Limited
  • Datenschutzkoordinationen (Beratung/ Unterstützung des/ der Datenschutzbeauftragten)
  • Übernahme von Aufsichtsratsmandaten
  • Existenzgründungsberatung
  • Erstellung von Businessplänen
  • Management-/ Mitarbeiter-Schulungen und Coaching

Weitere Tätigkeiten:

  • Lehrbeauftragter an der Hochschule für Wirtschaft und Umwelt Nürtingen
  • Stv. Vorstandsvorsitzender des Verbands Organisations und Informationssysteme e.V. (VOI)
  • Beiratsmitglied der VOI Service GmbH
  • Vorstand der Reviscan AG, Stuttgart
  • Geschäftsführer der Reviscan Service UG (haftungsbeschränkt)
  • Aufsichtsratsvorsitzender der Intra2Net AG, Tübingen
  • Aufsichtsratsvorsitzender der Justt AG i. Gr.
  • Datenschutzkoordinator:
    • Architektenkammer Baden-Württemberg
    • Architekten- und Stadtplanerkammer Hessen
    • Kombiverkehr GmbH & Co KG, Frankfurt
    • Zeitungsverlag GmbH & Co Waiblingen KG
    • Druckhaus Waiblingen GmbH
    • all4net GmbH
    • STEG GmbH
    • DM Dokumentenmanagement GmbH

Lebenslauf

  • 15.12.1968 geboren in Tübingen
  • 1988-1993 Jurastudium an der Eberhard-Karls-Universität Tübingen
  • 1992 Gründung der EDV-Systemberatung Emmert
  • 1993-1995 Referendariat
  • Seit 1994 Programmierung der Anwaltssoftware „WANDA“
  • 1996 Gründung der Kanzlei esb Rechtsanwälte, Reservierung der Domain www.kanzlei.de
  • Seit 1999 Gründung zahlreicher Aktiengesellschaften, Vorträge, Seminare und Beratung im Bereich Revisionssichere Archivierung
  • 2000-2002 Aufsichtsrat bei der Heindl Internet AG
  • 2001 Aufsichtsratsvorsitzender bei der Intra2net AG
  • 2003 Lehrbeauftragter an der Hochschule für Wirtschaft und Umwelt
  • 2005 Mitherausgeber der Zeitschrift IT-Sicherheit und Datenschutz
  • 2010-2014 Aufsichtsrat der Iventico AG
  • 2011-2012 Aufsichtsratsvorsitzender der NOS AG
  • 2011 Vorstand des VOI -Verband Organisations- und Informationssysteme e.V.
  • 2012 Gründung der Reviscan Service UG
  • 2012 Wahl zum Vorstand der Reviscan AG
  • 2013 Stv. Vorstandsvorsitzender des VOI e.V.
  • 2013 Wahl zum Beiratsmitglied der VOI Service GmbH
  • 2015 Mitglied des Zertifizierungsausschusses der VOI Service GmbH
  • 2021 Aufsichtsratsvorsitzender der Justt AG

Veröffentlichungen

Sprachen
Deutsch, Englisch